Apple ha abordado recientemente tres nuevas vulnerabilidades zero-day que fueron explotadas en ataques para instalar el spyware Triangulation en iPhones mediante exploits zero-click en iMessage.
Las vulnerabilidades, identificadas como CVE-2023-32434 y CVE-2023-32435, afectaban al kernel y a WebKit, respectivamente. Estas fallas fueron descubiertas y reportadas por los investigadores de seguridad de Kaspersky, Georgy Kucherin, Leonid Bezvershenko y Boris Larin.
Kaspersky también ha publicado un informe detallado sobre un componente de spyware para iOS utilizado en una campaña que han denominado «Operación Triangulation».
El componente de spyware, conocido como TriangleDB, se implementa una vez que los atacantes obtienen privilegios de root en el dispositivo iOS objetivo, aprovechando una vulnerabilidad en el kernel. Este se despliega en la memoria, lo que significa que todas las huellas del implante se pierden al reiniciar el dispositivo. Si la víctima reinicia su dispositivo, los atacantes deben volver a infectarlo enviando un mensaje de iMessage con un archivo adjunto malicioso para iniciar nuevamente la cadena de explotación. En caso de que no haya reinicio, el componente de spyware se desinstala automáticamente después de 30 días, a menos que los atacantes extiendan este período.
Estos ataques comenzaron en 2019 y aún continúan en la actualidad, según Kaspersky. La compañía informó en junio que algunos iPhones en su red habían sido infectados con spyware desconocido a través de exploits zero-click en iMessage que aprovechaban vulnerabilidades zero-day en iOS.
Después de la publicación del informe de Kaspersky, la agencia de inteligencia y seguridad rusa FSB afirmó que Apple proporcionó a la NSA una puerta trasera para infectar iPhones en Rusia con spyware. Según el FSB, encontraron miles de iPhones infectados pertenecientes a funcionarios del gobierno ruso y personal de embajadas en Israel, China y países miembros de la OTAN.
Apple negó rotundamente estas afirmaciones y declaró que nunca ha colaborado con ningún gobierno para insertar una puerta trasera en sus productos.
Además de abordar estas vulnerabilidades zero-day, Apple también ha solucionado otra vulnerabilidad zero-day en WebKit (CVE-2023-32439), reportada por un investigador anónimo. Esta vulnerabilidad permitía a los atacantes ejecutar código arbitrario en dispositivos sin parchear al aprovechar un problema de confusión de tipos.
Las correcciones para estas vulnerabilidades se implementaron en diferentes versiones de los sistemas operativos de Apple, incluyendo macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, iOS 16.5.1 and iPadOS 16.5.1, iOS 15.7.7 and iPadOS 15.7.7, watchOS 9.5.2, y watchOS 8.8.1. Estas actualizaciones incluyen mejoras en las comprobaciones de seguridad, la validación de entrada y la gestión de estado.
Es importante destacar que desde principios de año, Apple ha abordado un total de nueve vulnerabilidades zero-day que han sido explotadas en la vida real para comprometer dispositivos Apple. Estas correcciones reflejan el compromiso de la empresa con la seguridad de sus usuarios y su respuesta rápida ante las amenazas emergentes en el panorama de la ciberseguridad.